Podmioty biorące udział w obrocie danymi mają obowiązek zapewnienia bezpieczeństwa informacjom, które przetwarzają. W związku z popularyzacją pracy zdalnej w organizacjach przekazuje się wewnętrznie lub na zewnątrz coraz więcej informacji za pomocą wiadomości e-mail. Konferencja Niezależnych Organów Ochrony Danych Federacji i Krajów Związkowych (DSK) opublikowała wytyczne w sprawie przekazywania danych osobowych za pomocą wiadomości e-mail. Mogą być one przydatne dla administratorów i podmiotów przetwarzających w skutecznym zapewnieniu odpowiedniego poziomu bezpieczeństwa przekazywanych danych.

Uwagi ogólne DSK

  • DSK wskazuje, że zarówno szyfrowanie od końca do końca (szyfrowanie end-to-end, E2EE), jak i szyfrowanie w standardzie Transport Layer Security (TLS) zmniejszają ryzyko związane z naruszeniem poufności przesyłanych wiadomości email. Dlatego administratorzy muszą wziąć pod uwagę oba protokoły podczas decydowania o stosowanych zabezpieczeniach przekazywanych danych.
  • Zdaniem autorów wytycznych wysoki poziom ochrony poufności treści przekazywanych za pomocą wiadomości e-mail osiąga się poprzez szyfrowanie end-to-end, dla którego standardy internetowe S/MIME (RFC 5751) i OpenPGP (RFC 4880) są ogólnie dostępne w połączeniu z PGP/MIME (RFC 3156). Szyfrowanie typu end-to-end chroni informacje nie tylko wtedy, gdy są one „w ruchu” (przekazywane pomiędzy urządzeniami za pomocą sieci) transportu, lecz także wówczas, gdy są przechowywane na urządzeniach. Szyfrowanie typu end-to-end pozwala ograniczyć przetwarzanie niezaszyfrowanych treści do specjalnie chronionych segmentów sieci lub do tych jej części, które są przeznaczone wyłącznie do użytku przez upoważnione osoby.
  • Stosowanie szyfrowania w standardzie TLS zapewnia jedynie podstawową ochronę i stanowi minimalny środek do spełnienia wymagań prawnych. W sytuacjach przetwarzania o zwykłym poziomie ryzyka dla praw i wolności podmiotów danych takie szyfrowanie zapewnia wystarczającą minimalizację ryzyka.
  • Podmioty wysyłające dane osobowe wewnątrz organizacji lub do zewnętrznego odbiorcy za pomocą wiadomości e-mail muszą podjąć dodatkowe środki techniczne i organizacyjne, aby o wiadomości, która ma zostać wysłana, wiedział wyłącznie odbiorca. Do tego celu (zwłaszcza w przypadku przesyłania informacji, których naruszenie wiązałoby się z wysokim ryzykiem dla praw i wolności osób fizycznych) służy szyfrowanie typu end-to-end z indywidualnym adresowaniem do osoby, dla której treść ma być przeznaczona.

Odbieranie danych osobowych przekazywanych za pomocą wiadomości e-mail w sytuacji zwykłego ryzyka dla praw i wolności osób, których dane dotyczą

  • Ochrona poufności i integralności danych osobowych podczas przesyłania wiadomości e-mail wymaga współpracy nadawcy i odbiorcy. Chociaż za pojedynczy proces przekazywania danych osobowych za pomocą wiadomości e-mail odpowiada nadawca, to każdy podmiot, który konkretnie otrzymuje dane osobowe przez pocztę elektroniczną, jest zobowiązany do stworzenia warunków bezpiecznego odbierania wiadomości e-mail za pośrednictwem szyfrowanego kanału.
  • Serwer odbiorcy wiadomości musi przynajmniej umożliwiać nawiązywanie połączeń TLS (bezpośrednio przez SMTPS[1] lub po otrzymaniu polecenia STARTTLS[2] przez SMTP).
  • W celu weryfikacji autentyczności i integralności otrzymanych wiadomości e-mail należy sprawdzić podpisy DKIM[3] wiadomości.

Odbieranie danych osobowych przekazywanych za pomocą wiadomości e-mail w sytuacji wysokiego ryzyka dla praw i wolności osób, których dane dotyczą

  • Jeżeli podmioty zaangażowane w obrót danymi otrzymują pocztą elektroniczną dane osobowe, w przypadku których naruszenie poufności stanowi wysokie ryzyko dla praw i wolności danych osób fizycznych, muszą wdrożyć zarówno szyfrowanie w standardzie TLS, jak i szyfrowanie w standardzie end-to-end.

Przesyłanie danych osobowych za pomocą wiadomości e-mail w sytuacji zwykłego ryzyka dla praw i wolności osób, których dane dotyczą

  • Wszyscy administratorzy wysyłający wiadomości e-mail zawierające dane osobowe, w przypadku których naruszenie poufności (treści lub okoliczności komunikatu w odniesieniu do osób fizycznych) stwarza ryzyko dla praw i wolności osób fizycznych, powinni kierować się zasadami wskazanymi w dokumencie TR 03108-1[4] i wdrożyć standard szyfrowania TLS.

Przesyłanie danych osobowych za pomocą wiadomości e-mail w sytuacji wysokiego ryzyka dla praw i wolności osób, których dane dotyczą

  • Administratorzy wysyłający wiadomości e-mail zawierające dane osobowe, których naruszenie stwarzałoby wysokie ryzyko dla praw i wolności osób fizycznych, powinni co do zasady regularnie stosować szyfrowanie typu end-to-end i kwalifikowane szyfrowanie w standardzie TLS.

Z tekstem wytycznych DSK można zapoznać się pod adresem.

[1] Protokół komunikacji za pomocą wiadomości e-mail przez Internet.

[2] Polecenie protokołu używane do informowania serwera poczty elektronicznej, że klient poczty elektronicznej chce zmienić połączenie z niezabezpieczonego na bezpieczne przy użyciu TLS lub SSL.

[3] DKIM (DomainKeys Identified Mail) to protokół wprowadzający zaszyfrowaną sygnaturę do nagłówka wszystkich wiadomości wychodzących w celu potwierdzenia tego, że nadawcą wiadomości jest właściciel adresu.

[4] BSI TR-03108-1: Secure E-Mail Transport. Requirements for E-Mail Service Providers (EMSP)regarding a secure Transport of E-Mails, dostępny pod adresem: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03108/TR03108-1.pdf?__blob=publicationFile&v=4 (dostęp: 12.08.2021).